Wat is DORA?
De Digital Operational Resilience Act — bekend als DORA — is Verordening (EU) 2022/2554, aangenomen door het Europees Parlement en de Raad op 14 december 2022. De EU publiceerde deze op 27 december 2022 in het Publicatieblad. De verordening trad in werking op 16 januari 2023 en werd volledig van toepassing op 17 januari 2025.
DORA vult een specifieke leemte in de financiële regelgeving van de EU op. Vóór DORA beheerde financiële instellingen operationele risico’s voornamelijk door kapitaal opzij te zetten. Die aanpak bood echter onvoldoende dekking voor ICT-gerelateerde verstoringen, die veel instellingen tegelijkertijd kunnen treffen wanneer een gedeelde technologieleverancier uitvalt. Daarom introduceert DORA een uniform EU-breed kader voor ICT-risicobeheer, incidentrapportage, het testen van operationele weerbaarheid en toezicht op externe technologieleveranciers.
Wie moet voldoen aan DORA?
DORA is van toepassing op twee hoofdgroepen organisaties die betrokken zijn bij informatie- en communicatietechnologie (ICT) in de financiële sector.
De eerste groep bestaat uit financiële entiteiten. Hieronder vallen onder meer kredietinstellingen, betalingsinstellingen, elektronischgeldinstellingen, beleggingsondernemingen, verzekerings- en herverzekeringsondernemingen, aanbieders van cryptoactivadiensten, centrale effectenbewaarinstellingen, centrale tegenpartijen en handelsplatformen, zoals vermeld in Artikel 2 van de verordening.
De tweede groep bestaat uit externe ICT-dienstverleners — bedrijven die technologiediensten leveren aan financiële entiteiten. Deze groep omvat cloudproviders, softwareontwikkelaars, data-analysebedrijven, cybersecuritybedrijven, datacenterproviders en elke andere leverancier wiens diensten de activiteiten van een gereguleerde financiële instelling ondersteunen.
Belangrijk is dat DORA ook betrekking heeft op ICT-dienstverleners die buiten de EU zijn gevestigd. Als een technologiebedrijf in de Verenigde Staten, het Verenigd Koninkrijk of Azië diensten levert aan in de EU gereguleerde financiële instellingen, is DORA van toepassing op die relatie.
De LEI-vereiste onder DORA
DORA vereist dat financiële entiteiten een gedetailleerd Informatieregister bijhouden van al hun externe ICT-dienstverleners. Uitvoeringsverordening (EU) 2024/2956 van de Commissie, gepubliceerd op 2 december 2024, bevat de standaardtemplates voor dit register.
Artikel 3, lid 5, van die uitvoeringsverordening stelt direct:
“Financiële entiteiten maken gebruik van een geldige en actieve identificatiecode voor juridische entiteiten (LEI) of de in artikel 16 van Richtlijn (EU) 2017/1132 bedoelde Europese unieke identificatiecode (‘EUID’), en waar beschikbaar beide identificatiecodes, om al hun externe ICT-dienstverleners die rechtspersoon zijn te identificeren, met uitzondering van natuurlijke personen die in een zakelijke hoedanigheid handelen.”
Met andere woorden: elke externe ICT-dienstverlener die een juridische entiteit is, moet identificeerbaar zijn met een geldige en actieve LEI of een EUID. Beiden moeten actueel zijn. Een verlopen of niet-gevalideerde LEI voldoet niet aan deze vereiste.
LEI of EUID — Welke is op u van toepassing?
Beide identificatiecodes voldoen aan de DORA-vereisten, maar ze hebben betrekking op verschillende situaties. Inzicht in het verschil helpt u de juiste keuze te maken.
De LEI (Legal Entity Identifier) is een wereldwijd erkende alfanumerieke code van 20 tekens, gebaseerd op de ISO-norm 17442. De Global Legal Entity Identifier Foundation (GLEIF) beheert het Global LEI System en stelt alle LEI-gegevens openbaar beschikbaar in de Global LEI Index. De LEI dekt juridische entiteiten in meer dan 200 jurisdicties en bevat tevens gegevens over eigendom en zeggenschap.
De EUID (European Unique Identifier) is gekoppeld aan het Business Registers Interconnection System (BRIS) van de EU. Omdat deze uitsluitend verbonden is met nationale registers van de EU, dekt deze alleen entiteiten die geregistreerd zijn in EU-lidstaten.
Hier maakt de uitvoeringsverordening een cruciaal onderscheid: ICT-dienstverleners die buiten de EU zijn gevestigd, mogen uitsluitend met de LEI worden geïdentificeerd. De EUID is simpelweg niet beschikbaar voor niet-EU-entiteiten. Bijgevolg is de LEI de enige geldige identificatiecode voor elke leverancier die van buiten de EU opereert.
Voor in de EU gevestigde leveranciers volstaan beide codes. Voor wereldwijde activiteiten of leveranciers met belangen buiten de EU is de LEI echter de betere keuze vanwege de internationale erkenning en de bredere gegevensdekking.
Wat “geldig en actief” in de praktijk betekent
De uitvoeringsverordening vereist specifiek een geldige en actieve LEI. Dit verwijst naar de status die wordt weergegeven in de wereldwijde database van de GLEIF.
Een LEI met de status “Issued” (Uitgegeven) is geldig en actief, en voldoet daarmee aan DORA. Een LEI met de status “Lapsed” (Verlopen) is niet meer geldig en voldoet bijgevolg niet aan de vereiste. Financiële entiteiten mogen een verlopen LEI niet registreren als een conforme identificatiecode in hun Informatieregister.
Een LEI blijft één jaar geldig vanaf de datum van uitgifte of de laatste verlenging. Daarna moet de houder de code verlengen om de actieve status te behouden. Tijdens de verlenging verifieert de uitgevende organisatie de referentiegegevens van de entiteit — waaronder de statutaire naam, het geregistreerde adres en de eigendomsstructuur — opnieuw aan de hand van officiële registerbronnen. Dit proces garandeert dat de gegevens in de wereldwijde LEI-database nauwkeurig en actueel blijven.
U kunt de status van elke LEI controleren via de GLEIF LEI-zoekfunctie of via de LEI System-zoekfunctie.
Waarom de LEI de praktische standaard is voor DORA-naleving
DORA-regelgevers hebben voor de LEI gekozen omdat het een probleem oplost dat geen enkele nationale identificatiecode kan oplossen: consistente, grensoverschrijdende identificatie van juridische entiteiten in één wereldwijd erkend formaat.
Nationale ondernemingsnummers variëren aanzienlijk per land, zijn niet altijd machineleesbaar en dekken niet-EU-entiteiten helemaal niet. De LEI daarentegen biedt één consistente code voor elke juridische entiteit, ongeacht waar deze is opgericht. Bovendien kunnen financiële instellingen, omdat LEI-gegevens openbaar beschikbaar en verifieerbaar zijn, de gegevens van leveranciers direct controleren zonder documenten op te vragen.
Voor financiële instellingen die veel ICT-leveranciers in verschillende landen beheren, vermindert deze standaardisatie de administratieve complexiteit van DORA-naleving aanzienlijk. Eén enkele LEI-check levert geverifieerde informatie op over de statutaire naam, registratiegegevens en eigendomsstructuur van de leverancier — zaken die direct relevant zijn voor de verplichtingen op het gebied van risicobeheer van derden onder DORA.
Voor ICT-dienstverleners maakt het bezit van een geldige LEI het voor hun financiële cliënten eenvoudig om hen correct op te nemen in hun DORA-register. Leveranciers zonder geldige LEI veroorzaken daarentegen hiaten in de naleving voor hun cliënten, wat de zakelijke relatie in gevaar kan brengen. De GLEIF biedt meer context over hoe de LEI dit ondersteunt in haar overzicht van het reglementair gebruik van de LEI.
Wat ICT-dienstverleners nu moeten doen
Controleer of u een geldige LEI heeft. Als u ICT-diensten levert aan een in de EU gereguleerde financiële instelling, moet uw cliënt u identificeren in hun DORA-informatieregister. Neem contact met hen op om te bevestigen of zij uw LEI hebben geregistreerd en of deze momenteel actief is.
Registreer een LEI als u er nog geen heeft. Het proces is volledig digitaal en wordt voor de meeste jurisdicties binnen 24 uur afgerond. U dient de statutaire naam van uw bedrijf, het geregistreerde adres en het registratienummer te verstrekken. In de meeste gevallen verifieert het systeem deze gegevens automatisch aan de hand van officiële handelsregisters. LEI System is een geaccrediteerde Registration Agent van de GLEIF. U kunt vandaag nog uw LEI-registratie starten.
Verleng uw LEI als deze is verlopen. Een verlopen LEI moet worden verlengd voordat uw cliënten deze kunnen gebruiken in een DORA-register. Verlenging herstelt de status “Issued” en valideert de referentiegegevens van uw bedrijf opnieuw. U kunt uw LEI snel verlengen via LEI System.
Houd uw LEI-gegevens actueel. Als uw bedrijfsnaam, geregistreerd adres of eigendomsstructuur is gewijzigd, pas dan uw LEI-referentiegegevens dienovereenkomstig aan. Verouderde LEI-gegevens leiden tot complicaties bij de naleving voor uw financiële cliënten wanneer zij hun register indienen bij de nationale autoriteiten.
DORA in de context van bredere EU-regelgeving
DORA staat niet op zichzelf. Het sluit aan bij andere EU-verordeningen die de LEI ook als standaardidentificatiecode voor juridische entiteiten gebruiken, waaronder MiFID II-transactierapportage, EMIR-derivatenrapportage en de EU-verordening voor directe betalingen. Voor financiële entiteiten die al LEI’s gebruiken voor transactierapportage, voegt DORA dus een extra dimensie toe in plaats van een volledig nieuw systeem.
Daarnaast is DORA direct gekoppeld aan de NIS2-richtlijn (Richtlijn (EU) 2022/2555) betreffende cybersecurity. DORA fungeert als een sectorspecifieke wet onder NIS2 voor financiële entiteiten. U kunt meer lezen over NIS2 en de LEI in het artikel over NIS2 en LEI op deze site. Voor een breder overzicht van hoe de LEI functioneert binnen de financiële regelgeving van de EU, zie Hoe de LEI in de praktijk werkt in de EU.
DORA en LEI — Belangrijkste feiten in een oogopslag
Wat is DORA? Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector.
Wanneer werd DORA van toepassing? 17 januari 2025.
Wie moet hieraan voldoen? Financiële entiteiten in de EU en hun externe ICT-dienstverleners, inclusief niet-EU-leveranciers die EU-instellingen bedienen.
Wat vereist DORA voor de identificatie van ICT-dienstverleners? Een geldige en actieve LEI of EUID, zoals gespecificeerd in Uitvoeringsverordening (EU) 2024/2956 van de Commissie.
Welke identificatiecode geldt voor niet-EU ICT-dienstverleners? Uitsluitend de LEI. De EUID dekt alleen in de EU geregistreerde entiteiten.
Welke LEI-status voldoet aan DORA? Alleen “Issued”. Een “Lapsed” LEI voldoet niet aan de vereiste.
Waar kan ik een LEI registreren of verlengen? Via een geaccrediteerde GLEIF Registration Agent zoals LEI System.